Apache Tomcat : Sortie de la version 7.0.81 corrigeant deux vulnérabilités

Une nouvelle version (7.0.81) d’Apache Tomcat est sortie le 16 août 2017 qui corrige les vulnérabilités suivantes :

Possibilité d’accéder au code source Java des pages pour les ressources desservies par le module VirtualDirContext en utilisant une requête spécifique.

Lorsque le serveur fonctionne sous Windows et que la méthode HTTP PUT est activée, il est possible d’uploader un fichier contenant du code sur le serveur en forgeant une requête spécifique. Ce fichier peut ensuite être appelé par un attaquant externe pour exécuter du code à distance sur le serveur.

Informations
+

Impact

Exécution de code arbitraire à distance

Découverte d’informations techniques

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Apache Tomcat, version 7.0.0 à 7.0.80

CVE

CVE-2017-12615

CVE-2017-12616


Recommandations
+

Correctifs

Il est recommandé d’effectuer une montée de version à la version 7.0.81.

Solution de contournement

Si la mise à jour n’est pas possible dans l’immédiat, il est possible de réduire les risques d’exploitation des vulnérabilités par l’implémentation d’un pare-feu applicatif (WAF) ou la désactivation de la méthode HTTP PUT si non nécessaire.